スケジュールされた分析ルールの実行を監視および最適化する
Microsoft Sentinel の脅威検出が環境内を完全にカバーできるようにするには、その実行管理ツールを利用します。 それらのツールは、スケジュールされた分析ルールの実行に関する分析情報 (Microsoft Sentinel の正常性と監査データに基づく) と、テストやトラブルシューティングのために、ルールの以前の実行を特定の時間枠に対して手動で再実行するための機能で構成されています。
重要
Microsoft Sentinel の分析ルールの分析情報と手動再実行は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
まとめ
スケジュールされた分析ルールには、2 つの実行管理ツールがあります。それらは、組み込みのスケジュールされたルール分析情報と、スケジュールされたルールをオンデマンドで再実行する機能です。
[分析] ページでは、[分析情報] パネルが詳細ウィンドウの別のタブとして、[情報] タブの横に表示されます。 [分析情報] パネルには、ルールのアクティビティと結果に関する情報が表示されます。 たとえば、失敗した実行、代表的な正常性の問題、時間の経過に伴うアラートの数、ルールによって作成されたインシデントの終了分類などです。 これらの分析情報は、セキュリティ アナリストが分析ルールの潜在的な問題や構成の誤りを特定するのに役立ちます。それらを特定することで、セキュリティ アナリストはルールの失敗を検出、修正し、ルールの構成を最適化してパフォーマンスと精度を向上させることができます。
また、[分析] ページでは、オンデマンドで分析ルールを再実行できます。 この機能により、ルールの有効性を検証するための柔軟性と制御性が得られます。 これは、ルールの洗練、テスト、検証などのシナリオで役立ちます。 手動での再実行を柔軟に開始できるため、効率的なセキュリティ運用のサポートや効果的なインシデント対応が可能になり、システムの全体的な検出および対応機能を強化できます。
ルール再実行のユース ケースと利点
分析ルールの特定の実行を再生することでメリットが得られるいくつかのシナリオを次に示します。
ルールの洗練とチューニング: 分析ルールには、進化する脅威の状況と変化する組織のニーズに基づいて、定期的な調整と微調整が必要になる場合があります。 ルールを手動で再実行することで、アナリストはルールの変更の影響を評価し、運用環境に展開する前にその有効性を検証できます。
テストと検証: 新しい分析ルールを導入したり、既存の分析ルールに大幅な変更を加えたり、新しいインシデント プレイブックを開発したりする場合は、パフォーマンスと精度を徹底的にテストすることが不可欠です。 手動での再実行を使用すると、エンドツーエンドの自動インシデント フローなど、さまざまなシナリオをシミュレートし、一貫したデータ入力セットに対してルールを検証できます。 このプロセスにより、ルールに基づいて、過剰な誤検知が生成されることなく、予期されるアラートが生成されます。
インシデント調査: セキュリティ インシデントや疑わしいアクティビティが発生した場合、アナリストは、既に生成されたアラートに関する追加の詳細情報を表示したい場合があります。 これを行うには、ルールを更新し、特定の実行間隔 (最大 7 日間まで遡ることが可能) で再実行して追加情報を収集し、関連するイベントを特定します。 手動での再実行を使用すると、アナリストは詳細な調査を実行し、包括的なカバー範囲を確保できます。
コンプライアンスと監査: 一部の規制要件または内部ポリシーによっては、継続的な監視とコンプライアンスを示すために、定期的またはオンデマンドで分析ルールを再実行することが必要になる場合があります。 手動での再実行では、ルールを一貫して適用し、適切なアラートが生成されるため、そのような義務を満たすことができます。
必須コンポーネント
実行管理ツールを使用するには、Microsoft Sentinel の正常性と監査機能、特に分析ルールの正常性監視を有効にする必要があります。 正常性と監査を有効にする方法を参照してください。
分析ルールに関する分析情報を表示する
これらのツールを利用するには、まず、特定のルールに関する分析情報を調べることから始めます。
Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。
分析情報を表示したいルール (スケジュール済みまたは NRT) を見つけて選択します。
[詳細] タブの [分析情報] タブを選択します。
[分析情報] タブを選択すると、期間のセレクターが表示されます。 期間を選択するか、既定値である過去 24 時間のままにします。
[分析情報] パネルには現在、4 種類の分析情報が表示されています。 各分析情報の後に [すべて表示] リンクが表示され、そのリンクをクリックすると [ログ] ページに移動し、分析情報を生成したクエリと完全な生の結果が表示されます。 その分析情報を次に示します。
失敗した実行には、指定された時間枠内におけるそのルールの失敗した実行の一覧が表示されます。 この分析情報の後には、[ルールの実行] パネルへのリンクも表示されます。このパネルには、ルールが実行されたすべての時間の一覧が表示され、 ルールの特定の実行を再生できます。
代表的な正常性の問題には、指定された時間枠内において、このルールで最も多く検出されたな正常性の問題の一覧が表示されます。 また、この分析情報の後に [実行の表示] リンクが表示され、そのリンクをクリックすると [ログ] ページに移動します。このページには、すべての時間でこのルールが実行したクエリが表示されます。
アラート グラフには、指定された時間枠内にこのルールによって生成されたアラートの数がグラフで表示されます。
インシデント分類には、指定された時間枠内にこのルールによって作成されたインシデントの終了分類の概要が表示されます。
分析ルールを再実行する
ルールの再実行が必要になる可能性があるいくつかのシナリオを次に示します。
一時的な条件によってルールが失敗し、その条件が元に戻った場合、または構成の誤りによってルールが失敗した場合。 構成ミスを修正する、または条件を修復した後、失敗した実行と同じ時間枠 (つまり、同じデータ) に対してルールを再実行し、カバー範囲のギャップを軽減する必要があります。
ルールの実行には成功したものの、そのルールによって生成されたアラートに関して十分な情報が提供されなかった場合。 この場合は、クエリまたはエンリッチメント設定を変更することでルールを編集し、詳細情報を得られるようにすることができます。 その後、詳細情報を取得したい実行と同じ時間枠 (つまり、同じデータ) に対してルールを再実行します。
ルールの作成または編集を試していて、さまざまな設定がルールによって生成されるアラートにとのような影響を与えるかを確認したい場合。 有効な比較のために、同じ時間枠に対してルールを再実行する必要があります。
ルールを再実行する方法は次のとおりです。
[分析] ページで、上部のツール バーから [ルールの実行 (プレビュー)] を選択します。 [ルールの実行] パネルが開きます。
[分析情報] タブの [失敗した実行] の表示から [ルールの再実行] を選択して、[ルールの実行] パネルに移動することもできます (上記を参照)。
[実行時間] 列に表示されている最初に実行された時間枠に従って、再生するルールの実行を選択します。 複数のルールの実行を選択できます。
[実行の再生] を選択します。 要求の進行状況と、ルールが実行キューに登録されたことを示す通知が表示されます。
[更新] を選択して、ルールの実行の更新された状態を表示します。 そうすると、ルールの実行の中に先ほどの要求が表示され、その状態は [進行中] (最終的には [成功] と表示されます) となり、種類は[システムによるトリガー]ではなく、[ユーザーによるトリガー] として表示されます。
また、要求した再実行の実行時間は、システムによってトリガーされた最初の実行と同じであり、再実行の実行時間ではないことに注意してください。 これは、再実行が参照している時間枠を示しています。
再生できるのはシステムによってトリガーされたルールの実行のみであり、ユーザーによってトリガーされたルールの実行は再生できません。
ルール実行の行の最後にある [すべての詳細を表示] を選択して、その完全な生の詳細を [ログ] 画面に表示します。
次のステップ
- 正常性を監視して、分析ルールの整合性を監査する。
- Microsoft Sentinel での監査と稼働状況の監視について確認します。
- Microsoft Sentinel で監査と稼働状況の監視を有効にします。
- SentinelHealth と SentinelAudit テーブルのスキーマの詳細を確認します。